Microsoft, USB Belleklerle Yayılan Kripto Cüzdan Zararlısını Tespit Etti
Microsoft, Şubat ayından beri USB bellekler üzerinden yayılan ve Windows kullanıcılarının kripto cüzdanlarını hedefleyen bir zararlı yazılım tespit etti. “Crypto clipper” olarak tanımlanan yazılım, pano verilerini izleyerek seed phrase, özel anahtar ve alıcı adreslerini hedef alıyor.
Ne oldu?
Microsoft, Şubat ayından beri USB bellekler üzerinden yayılan ve Windows kullanıcılarının kripto cüzdanlarını hedefleyen bir zararlı yazılım tespit etti. “Crypto clipper” olarak tanımlanan yazılım, pano verilerini izleyerek seed phrase, özel anahtar ve alıcı adreslerini hedef alıyor.
Neden önemli?
Gelişme, kripto kullanıcıları için doğrudan operasyonel güvenlik riski taşıyor. Zararlı yazılım yalnızca bir bilgisayara bulaşmakla kalmıyor, kullanıcının kopyala-yapıştır işlemlerini izleyerek cüzdan seed phrase’leri, özel anahtarlar ve alıcı adresleri gibi kritik verileri hedefliyor. Bu tür saldırılar, fon transferlerinde kullanıcının ekranda fark etmeyebileceği adres değişiklikleriyle sonuçlanabiliyor.
Microsoft, Windows bilgisayarları hedef alan ve USB bellekler aracılığıyla yayılan bir kripto cüzdan zararlısı tespit ettiğini açıkladı. CoinDesk’in aktardığına göre şirket, Defender Antivirus tarafından Trojan:Win32/CryptoBandits olarak tanımlanan yazılımı “crypto clipper” kategorisinde değerlendiriyor; zararlının Şubat ayından bu yana görüldüğü belirtiliyor.
Gelişme, kripto kullanıcıları için doğrudan operasyonel güvenlik riski taşıyor. Zararlı yazılım yalnızca bir bilgisayara bulaşmakla kalmıyor, kullanıcının kopyala-yapıştır işlemlerini izleyerek cüzdan seed phrase’leri, özel anahtarlar ve alıcı adresleri gibi kritik verileri hedefliyor. Bu tür saldırılar, fon transferlerinde kullanıcının ekranda fark etmeyebileceği adres değişiklikleriyle sonuçlanabiliyor.
Microsoft’a göre bulaşma süreci, enfekte bir USB bellekte bulunan kötü amaçlı “.lnk” kısayol dosyasıyla başlıyor. Kullanıcı bu kısayola tıkladığında bilgisayara bir solucan yazılım kuruluyor. Yazılım daha sonra hem cüzdan hırsızlığı bileşenini çalıştırıyor hem de aynı bilgisayara takılacak temiz USB bellekleri izleyerek yayılmaya devam ediyor.
Zararlı yazılım Windows panosunu yaklaşık her 500 milisaniyede bir kontrol ediyor. Kullanıcı Bitcoin veya Ethereum cüzdanına ait özel anahtar ya da seed phrase kopyaladığında bu bilgileri yakalayıp Tor ağı üzerinden saldırganın sunucusuna gönderiyor. Ayrıca onar saniye arayla beş ekran görüntüsü alarak bunları da dışarı aktardığı bildiriliyor.
Transfer tarafında risk daha da kritik hale geliyor: Kullanıcı bir alıcı adresini kopyaladığında zararlı yazılım bu adresi saldırganın kontrolündeki başka bir adresle sessizce değiştirebiliyor. Microsoft, çıkarılabilir medyada AutoRun özelliğinin kapatılmasını, USB sürücülerinde .lnk dosyalarının çalıştırılmasının grup politikasıyla engellenmesini, wscript.exe ve cscript.exe gibi script host’larının kısıtlanmasını öneriyor. Şirket ayrıca güvenlik ekipleri için dosya hash’leri ve komuta-kontrol sunucularına ait .onion alan adlarını içeren uzlaşma göstergeleri yayımladı.